Většina dnešních bezdrátových sítí má vysokou úroveň zabezpečení, kterou zajišťuje autentizace uživatelů, šifrování komunikace a služby centralizovaného firewallu. Ve světě drátových sítí však většinou tak vysoké úrovně bezpečnosti nedosahujeme. Porty jsou dokonce často zcela nezabezpečené, což představuje riziko. Prvním krokem k zabezpečení je implementace autentizace, ale můžeme udělat ještě daleko více. Pomocí dynamické segmentace lze nastavit stejnou úroveň zabezpečení jako u bezdrátových sítí.
V hlavní roli kontrolér
Hlavní výhodu v bezdrátových sítích představuje možnost tunelování veškerého provozu z access pointů do kontroléru, který následně aplikuje pravidla pro přístup do sítě (firewall), umožňuje filtrovat provoz na základě použité aplikace (Application visibility and deep packet inspection – AppRF), obsahu navštěvovaných webových stránek (Web Content Classification – WebCC) a aplikace kvality služeb (Unified Communication and Collaboration – UCC, což je obdoba QoS pro bezdrátové sítě). Tento stejný způsob zabezpečení je možné nasadit i v drátové síti, kde místo access pointů provoz do kontroléru tunelují switche. Kontroléry se tedy stávají ústředními prvky celé sítě a umožňují nasazení zcela konzistentních síťových pravidel pro drátovou i bezdrátovou síť.
Konzistence pravidel spočívá v tom, že nezáleží na tom, z jaké lokality a jakým typem připojení se uživatel do sítě přihlašuje. Vždy obdrží stejnou uživatelskou roli s patřičnými oprávněními. Ať se připojuje z notebooku k Wi-Fi v zasedací místnosti, nebo kabelem do zásuvky ve své kanceláři.
Dva režimy tunelování provozu
Pro tunelování provozu ze switche na kontrolér lze využít dva režimy:
- Port-Based tunneling – v tomto režimu switch jednoduše odesílá veškerá data z vybraných portů na kontrolér, kde následně nastává autentizace uživatele a volba uživatelské role.
- User-Based tunneling – v druhém režimu si switch volí, který provoz odešle do tunelu a který odešle lokálně. Toto rozhodnutí se děje na základě autentizace a lokálně přidělené role. Tunelovaný provoz je odeslán na kontrolér, kde je přidělena uživatelská role s pravidly pro přístup do sítě.
Obecně využívanějším režimem je User-Based tunneling, který v kombinaci s Aruba ClearPass Radius serverem dokáže zajistit větší automatizaci celého procesu, a to díky možnosti nastavení stahovatelných rolí z ClearPass serveru (downloadable roles). Switch v tomto případě odešle autentizační žádost na Radius server, který ověří uživatele nebo zařízení. Součástí odpovědi je i kompletní definice lokální role na switchi a atribut pro tunelování provozu spolu s uživatelskou rolí přidělenou na kontroléru. Pokud není v odpovědi obsažen atribut pro tunelování, provoz je odeslán lokálně ze switche.
Jestliže se dnes rozhodujete, jakým způsobem lépe zabezpečit svou síť při zachování jednoduché implementace a správy, dynamická segmentace může být jednou z cest, kudy se vydat. Díky granulárním přístupovým oprávněním, která jsou založena na rolích vynucovaných dynamickou segmentací, lze efektivně zabezpečit síť a chránit ji před nechtěnými vnějšími vlivy. Další užitečné informace je možné získat na internetových stránkách Aruba Airheads Community, případně na YouTube kanálu Airheads Broadcasting Channel.
Co si přečíst i toto?
Doba, kdy zaměstnanci firem seděli ve velkých centralizovaných kancelářích, je dávno pryč a s tím se mění i způsob, jakým lidé přistupují k firemním datům. S nadsázkou lze říct, že klasický síťový perimetr tak, jak ho známe, již prakticky neexistuje. S tím, jak se mění pracovní prostředí, se musí měnit i způsob, jakým firmy přistupují k bezpečnosti.
Jana Zdvořáčka můžete potkávat na chodbách TD SYNNEX už od července roku 2016, kdy nastoupil na pozici technického konzultanta. Dlouhé roky byl spojován především se značkou Cisco, protože spadal do business unity, která pečovala právě o tohoto velkého vendora v oblasti networkingu či IT bezpečnosti.
